“생체정보 ‘위험’…지문정보 훔치는 공격툴 지하시장서 판매”
상태바
“생체정보 ‘위험’…지문정보 훔치는 공격툴 지하시장서 판매”
  • 김선애 기자
  • 승인 2016.09.26 11:21
  • 댓글 0
이 기사를 공유합니다

카스퍼스키랩 “ATM서 지문 빼내는 공격툴 판매…SNS 사진 이용한 안면 인식 시스템 악용 공격 가능”

생체인식을 적용한 ATM 기기 보안위협이 현실화됐다. 카스퍼스키랩은 ATM 기기에서 지문정보를 훔칠 수 있는 기능을 갖고 있는 공격툴 판매자가 12명이며, 3명 이상의 판매자가 손바닥 정맥과 홍채 인식 시스템에서 데이터를 훔칠 수 있는 장비를 찾고 있다고 26일 밝혔다.

카스퍼스키랩 조사에 따르면 공격자들은 ATM에서 전자칩을 내장한 신용카드도 복제할 수 있는 스키머인 ‘쉬머’를 개발해 사용하고 있으며, 카드의 내장된 칩에서 다량의 정보를 수집해 온라인을 통해 2차 공격을 시도할 수 있다. 그 공격 중 일부가 생체인식 정보를 기반으로 하고 있다.

생체 인식 장비는 지난해 9월 ‘스키머 장비 테스트’ 중 발견됐으며, 초기 테스트 기간 동안 스키머에서 여러 개의 버그가 발견됐다. 생체 인식 데이터 전송에 사용되는 GSM 모듈은 속도가 느려 대량의 데이터를 전송할 수 없었지만, 새로운 버전의 스키머는 빠른 데이터 전송 기술을 사용할 것으로 보인다.

▲ATM에서 지문정보를 탈취해 돈을 인출하는 해킹 시연 화면 캡처(자료: 카스퍼스키랩)

또한 사이버 범죄 커뮤니티에서 사람의 얼굴에 마스크를 씌우는 방식을 기반으로 하는 모바일 애플리케이션 개발에 대한 논의가 진행되고 있다는 징후도 있다. 이러한 앱을 통해 공격자들은 소셜 미디어에 게시된 어떤 사람의 사진을 이용해 안면 인식 시스템을 속이는 데 사용할 수 있을 것이다.

이창훈 카스퍼스키랩코리아 지사장은 “생체 인식의 문제점은 문제가 발생했을 경우 손쉽게 변경할 수 있는 암호나 핀 코드와는 달리, 지문이나 홍채를 바꿀 수 없다는 점”이라며 “따라서 생체 인식 데이터가 한번 손상되면 해당 인증 방법은 더 이상 안전하지 않다. 그래서 반드시 생체 인식 데이터의 보안을 철저히 하고 안전한 방법으로 전송해야 한다”고 지적했다.

그는 “생체 인식 데이터는 전자 여권과 비자에도 기록된다. 따라서 전자여권이 도난당하면 단순히 문서만 없어지는 것이 아니라 그 사람의 생체 인식 데이터까지 범죄자의 손에 넘어가는 것이다. 한 사람의 신원 자체를 갖게 되는 것이므로 주의해야 한다”고 경고했다.

카스퍼스키랩 연구진들은 생체 인식 데이터를 훔칠 수 있는 도구가 등장한 지금 상황에서 ATM만이 위험한 것은 아니며, 해커들은 앞으로도 악성 코드를 통한 공격, 네트워크 공격을 이어갈 것이며 이를 통해 탈취한 데이터를 향후 은행과 그 고객으로부터 돈을 훔치는 데 활용할 것으로 예측된다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.